Киберпреступники, специализирующиеся на краже средств со счетов бразильских финансовых организаций, полностью провалили собственную операционную безопасность. В результате расследования, начатого после сигнала от независимого исследователя, эксперты компании GHOST обнаружили полностью открытый командный сервер злоумышленников, содержащий данные 59 жертв, включая реальные сессии онлайн-банкинга и перехваченные платежи. Операция была раскрыта из-за шести критических ошибок, самой вопиющей из которых стало отсутствие какой-либо аутентификации на сервере управления.
Описание
Инцидент демонстрирует эволюцию тактики банковского мошенничества в Латинской Америке, где социальная инженерия по схеме ClickFix сочетается с продвинутыми техниками внедрения вредоносных расширений для браузера. При этом грубые промахи злоумышленников позволили исследователям не только детально изучить всю инфраструктуру, но и идентифицировать предполагаемого организатора по имени. Это редкий случай, когда фиксируются все этапы атаки - от фишинговой страницы до реальных краж с банковских счетов, включая счёт школьного фонда.
Социальная инженерия и принудительная установка расширения
Атака начиналась с классической схемы ClickFix. Жертва, чаще всего из Бразилии, попадала на фишинговую страницу, замаскированную под проверку reCAPTCHA с текстом на португальском языке. После клика по фальшивой кнопке в буфер обмена пользователя автоматически копировалась команда PowerShell. Инструкция на странице принуждала жертву вставить и выполнить эту команду от имени администратора, что полностью обходило защитные механизмы браузера.
Ключевой особенностью данной кампании стало использование легитимной функции корпоративного управления Google Chrome для принудительной установки вредоносного расширения. PowerShell-скрипт, выполняемый жертвой, прописывал в системный реестр Windows специальный токен регистрации (enrollment token) для Chrome Cloud Management. Это позволяло злоумышленникам удалённо управлять браузером жертвы, как если бы он был корпоративным активом. После этого в настройки добавлялась политика, принудительно устанавливающая расширение с идентификатором "BCB" (замаскированное под инструмент Центрального банка Бразилии - Banco Central do Brasil). Поскольку расширение было установлено через политику "администратора", обычный пользователь не мог его удалить - соответствующая кнопка в интерфейсе Chrome была заблокирована.
Полностью открытый командный сервер и живые данные жертв
Самой серьёзной ошибкой операционной безопасности стало развёртывание командного сервера (C2) вообще без какой-либо аутентификации. Сервер, работавший на Python-фреймворке FastAPI, был выложен в открытый доступ в интернете. Любой, кто знал его адрес, мог получить полный доступ к панели управления, списку всех жертв, просматривать живые скриншоты их экранов в реальном времени, а также извлекать перехваченные пароли, сессионные cookies и данные двухфакторной аутентификации в открытом виде.
Более того, злоумышленник оставил включённой автоматически генерируемую документацию OpenAPI, которая детально описывала весь функционал сервера. Это позволило исследователям без обратной инженерии получить полную карту всех API-эндпоинтов, включая те, что отвечали за блокировку экрана жертвы оверлеем, подмену балансов на страницах банка и инъекцию мошеннических QR-кодов для системы мгновенных платежей Pix.
На момент анализа на сервере были зарегистрированы данные 59 скомпрометированных машин, семь из которых были онлайн. В перехваченных данных фигурировала информация, относящаяся к счёту школьного фонда (Caixa Escolar) реального образовательного учреждения в Бразилии, включая имя ответственного лица. Это указывает на то, что целью атаки становились не только частные лица, но и организации, отвечающие за бюджетные средства.
Идентификация и грубые ошибки
Расследование привело к идентификации предполагаемого организатора. Доменное имя certificadosuporte[.]com[.]br, использовавшееся в инфраструктуре, было зарегистрировано на ANTONIO EDUARDO FREDERICO с указанием бразильского идентификационного номера CPF и личного адреса электронной почты. Это стало первым из шести критических промахов.
Помимо открытого C2 и реальных данных в WHOIS, к ошибкам относятся: жёсткая пропись IP-адреса сервера в открытом виде в коде расширения, передача всего трафика между расширением и C2 по незашифрованному HTTP-протоколу, наличие реальных данных жертв в исходном коде фишинговой панели, а также комментарии на португальском языке во всех компонентах вредоносного ПО. Инфраструктура частично базировалась на взломанном субдомене легитимного сайта бангладешского веб-разработчика, что также упростило её обнаружение.
Последствия и контекст
Данный инцидент высвечивает несколько тревожных тенденций. Во-первых, киберпреступники активно осваивают легитимные механизмы управления предприятиями для обеспечения устойчивости вредоносного ПО. Техника принудительной установки расширений через Chrome Enterprise является мощным вектором атаки, сложным для обнаружения. Во-вторых, несмотря на ужесточение правил для расширений в Manifest V3, злоумышленникам удаётся создавать эффективные перехватчики данных, остающиеся незамеченными антивирусами - анализируемое расширение на момент обнаружения имело нулевые детекции (0/38).
При этом парадоксальным образом, несмотря на техническую изощрённость в одних аспектах, грубейшие ошибки в базовой операционной безопасности привели к полному провалу операции. Это служит напоминанием, что эффективная защита должна быть комплексной. Для организаций, особенно финансового сектора, критически важно обучать сотрудников распознаванию социальной инженерии, мониторить нестандартные изменения в конфигурации браузеров (например, неожиданное появление корпоративных политик) и применять решения класса EDR для обнаружения подозрительной активности PowerShell. Для браузеров, используемых для критичных финансовых операций, следует рассмотреть политики, полностью запрещающие установку расширений или разрешающие их только из официального магазина после строгой проверки.
Индикаторы компрометации
IPv4
- 144.126.140.33
Domains
- certificadosuporte.com.br
- protocolovirtual.org
- test1.amanur.com
- xpie348.online
URLs
- http://144.126.140.33:3000/admin
- http://144.126.140.33:3000/api/users
- http://144.126.140.33:3000/openapi.json
- http://144.126.140.33:5000
- http://protocolovirtual.org
- http://test1.amanur.com
- http://xpie348.online/instalador/get_token.ps1
- http://xpie348.online/instalador/update.xml
Emails
- ventonortemaria@gmail.com
SHA256
- 401c125517b1f845289bf0a7a33e5db0391034f631eab85dd65b76b7fec9a959
- b68eefb10e2c304681532bc0c812c7905888e6b8e47448f1e4bc1edfe7ac193d
Chrome Extension
- Extension ID: ooidffpmpnebkcjneofkaidbcafefiag
- Name: BCB (Banco Central do Brasil)
- Version: 4.0.11
- Manifest: V3
- Chrome Cloud Management Enrollment Token: b5ccdac1-a263-4592-9d25-8bca765403f7
- Update URL: http://xpie348.online/instalador/update.xml
